Toon posts:

Windows eventlogs & starten van een batch file bij verkeerd

Pagina: 1
Acties:

Onderwerpen

Besturingssystemen

Vraag

zaterdag 4 april 2020 03:01

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Hoi,

Is er een manier om een batchfile te starten nadat een gebruiker met verkeerde inloggegevens probeerde aan te melden?

Waar vind ik er ergens logs waar ik kan zien wanneer gebruikers hebben ingelogd en of er pogingen geweest zijn met verkeerde inlog gegevens. Zoals bv. de administrator account (of moet je dit specifiek aan zetten).
Ik heb de logs van Windows (Windows 7 Ultimate) al 100de keren nagelopen na eerst zelf meermaals aan te loggen met verkeerde gegevens, maar ik vind er nergens iets van terug.
Ik vermoed dat als ik de daaraan gekoppelde event id ken ik via de taakplanner een batch file kan starten wanneer deze event ID zich voordoet. Op internet vind ik hier ook vrij weinig informatie over die mij in de goede richting kan brengen. Hopelijk heb ik hier meer succes :*)

Alvast bedank! 8)

...

Beste antwoord (via Verwijderd op 12-04-2020 01:11)

zaterdag 4 april 2020 17:44

  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

Killah_Priest schreef op zaterdag 4 april 2020 @ 13:00:
[...]


Ben ik de enige die dit "vreemd" vind? Bereid je overigens maar voor op een machine die erg snel onbruikbaar wordt op deze manier, een netwerkdevice binnen je netwerk (bv andere pc) kan namelijk ook voor een failed login zorgen zonder dat er echt iets aan de hand hoeft te zijn.
Als het om security gaat: geen Windows 7 meer gebruiken.
Ik denk dat het een soort honeypot is, kijken of er software in het netwerk draait die op Windows 7/2008R is getarget. Maar de oplossing is eenvoudig. Je kan het trouwens vanuit event viewer zelf maken zoals @Monkeybrains schjrijft.

https://community.spicewo...l-script-on-windows-event

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

Alle reacties

zaterdag 4 april 2020 03:06

Acties:
  • 0 Henk 'm!
  • sprankel
  • Registratie: December 2006
  • Laatst online: 25-07 22:36

sprankel

security logboek, niet system of application.

Om het te scripten denk ik dat je een script moet schrijven dat via een psloglist zoekt naar events en dan een actie koppelen, dit script om de zoveel tijd uitvoeren. Mogelijks is er een andere manier maar is het eerste wat mij binnen schiet.

Op domein niveau moet je dat wel aanzetten als je het wilt zien (on premise) maar ik vermoed dat we hier niet over een domein spreken.

zaterdag 4 april 2020 03:55

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik heb het security logboek nog eens bekeken (nu ben ik zeker dat ik op de juiste plaats kijk) en ik vind bv:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

 Poging tot aanmelden met expliciete referenties.

Onderwerp:
    Beveiligings-id:        SYSTEM
    Accountnaam:        USER-PC$
    Accountdomein:      WORKGROUP
    Aanmeldings-id:     0x3e7
    Aanmeldings-GUID:       {00000000-0000-0000-0000-000000000000}

Account waarvan de referenties zijn gebruikt:
    Accountnaam:        user
    Accountdomein:      user-PC
    Aanmeldings-GUID:       {00000000-0000-0000-0000-000000000000}


Het rare is dat hij een verkeerde inlog poging maar een keer registreert. en hij registreert zelfs de verkeerde accountnaam. Want hij zegt user terwijl ik geprobeerd heb met administrator in te loggen. Raar....

Het gaat over een standalone pc. Deze Windows 7 draait als een VHD en de bedoeding is om na 2 verkeerde inlog pogingen met een script de BCD entry van de VHD te verwijderen (dit commando ken ik) en daarna de pc onmiddellijk uit te zetten met het shutdown /f /p commando. Daardoor wordt de pc "onbruikbaar". Booten van usb, cdrom enz. staat ook uit.

zaterdag 4 april 2020 04:11

Acties:
  • 0 Henk 'm!
  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

task scheduler kan gewoon scripts aftrappen op events.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

zaterdag 4 april 2020 04:26

Acties:
  • +2 Henk 'm!
  • Monkeybrains
  • Registratie: Juni 2001
  • Laatst online: 21:20

Monkeybrains

Wim-Bart schreef op zaterdag 4 april 2020 @ 04:11:
task scheduler kan gewoon scripts aftrappen op events.
Dit dus. Volgens mij kan je zelfs rechtermuisknop op een event doen en dan kiezen om een scheduled task te doen. Zeker weten doe ik het niet, heb mijn windows machine even niet bij de hand.

Wellicht dat je hier wat aan hebt https://superuser.com/que...-with-a-specific-event-id

zaterdag 4 april 2020 13:00

Acties:
  • 0 Henk 'm!
  • Killah_Priest
  • Registratie: Augustus 2001
  • Laatst online: 07:44

Killah_Priest

Verwijderd schreef op zaterdag 4 april 2020 @ 03:55:

Het gaat over een standalone pc. Deze Windows 7 draait als een VHD en de bedoeding is om na 2 verkeerde inlog pogingen met een script de BCD entry van de VHD te verwijderen (dit commando ken ik) en daarna de pc onmiddellijk uit te zetten met het shutdown /f /p commando. Daardoor wordt de pc "onbruikbaar". Booten van usb, cdrom enz. staat ook uit.
Ben ik de enige die dit "vreemd" vind? Bereid je overigens maar voor op een machine die erg snel onbruikbaar wordt op deze manier, een netwerkdevice binnen je netwerk (bv andere pc) kan namelijk ook voor een failed login zorgen zonder dat er echt iets aan de hand hoeft te zijn.
Als het om security gaat: geen Windows 7 meer gebruiken.

zaterdag 4 april 2020 17:44

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • Wim-Bart
  • Registratie: Mei 2004
  • Laatst online: 10-01-2021

Wim-Bart

Zie signature voor een baan.

Killah_Priest schreef op zaterdag 4 april 2020 @ 13:00:
[...]


Ben ik de enige die dit "vreemd" vind? Bereid je overigens maar voor op een machine die erg snel onbruikbaar wordt op deze manier, een netwerkdevice binnen je netwerk (bv andere pc) kan namelijk ook voor een failed login zorgen zonder dat er echt iets aan de hand hoeft te zijn.
Als het om security gaat: geen Windows 7 meer gebruiken.
Ik denk dat het een soort honeypot is, kijken of er software in het netwerk draait die op Windows 7/2008R is getarget. Maar de oplossing is eenvoudig. Je kan het trouwens vanuit event viewer zelf maken zoals @Monkeybrains schjrijft.

https://community.spicewo...l-script-on-windows-event

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

zaterdag 4 april 2020 17:47

Acties:
  • 0 Henk 'm!
  • Archie_T
  • Registratie: Januari 2002
  • Laatst online: 20:14

Archie_T

Ik weet niet hoe het normaal staat in Windows maar volgens mij moet je logon failures aanzetten in je audit log via group policy of auditpol.exe.

zondag 12 april 2020 01:13

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Wim-Bart schreef op zaterdag 4 april 2020 @ 17:44:
[...]


Ik denk dat het een soort honeypot is, kijken of er software in het netwerk draait die op Windows 7/2008R is getarget. Maar de oplossing is eenvoudig. Je kan het trouwens vanuit event viewer zelf maken zoals @Monkeybrains schjrijft.

https://community.spicewo...l-script-on-windows-event
Bedankt voor de info!
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq